Blog
Informative, up-to-date and exciting - the Oneconsult Cybersecurity Blog.

Ransomware – Oneconsult Security Advisory

Criminals use malware to encrypt data on the victim’s computer and demand a ransom for decryption from the victim. Full article in German:

Kriminelle verschlüsseln mittels Malware systematisch Daten auf dem Computer des Opfers und fordern vom Opfer ein Lösegeld für die Entschlüsselung.

Die im Jahr 2015 für im Internet agierende Kriminelle wohl lukrativste Form von Angriffssoftware ist die sogenannte Ransomware. Diese meist kleinen, in verschiedenen Programmiersprachen geschriebenen und mittlerweile sehr ausgeklügelten Programme werden über E-Mails, kompromittierte Online-Werbung oder spezifische Malware auf den Computer gebracht, wo sie dann gezielt Word- und Excel-Dateien, Fotos etc. verschlüsseln und so für den Benutzer unzugänglich machen. Das Entschlüsselungsprogramm mit zugehörigem Schlüssel erhält man gegen die Bezahlung eines Geldbetrages, des Lösegelds. Die Höhe des Lösegelds wird von den Kriminellen jeweils so angesetzt, dass es den Betroffenen vermutlich billiger kommt zu bezahlen als seinen Computer professionell wiederherstellen zu lassen.

Die Diskussion, ob bezahlt werden soll oder nicht, erhitzt die Gemüter. Einerseits empfiehlt mittlerweile sogar das FBI (Federal Bureau of Investigation, die Bundespolizei der Vereinigten Staaten) das Lösegeld zu bezahlen, da die Software so weiterentwickelt wurde, dass die Verschlüsselung nicht einfach gebrochen werden kann. Andererseits argumentieren die Gegner damit, dass so nur noch mehr Kriminelle auf diesen Zug aufspringen.

Wer nicht bezahlt, muss allerdings den totalen Datenverlust in Kauf nehmen, falls keine Gegenmassnahmen wie beispielsweise Backups getroffen wurden. Wer bezahlt, ist wiederum auf den Goodwill der Kriminellen angewiesen, denn niemand garantiert einem, dass die Daten nach der Zahlung tatsächlich wieder nutzbar sind.

In der Schweiz wurde der Melde- und Analysestelle Informationssicherung (MELANI) in den letzten Tagen vermehrt von einer neuen Version namens „TeslaCrypt“ berichtet. Diese Version wird über E-Mail-Nachrichten mit einem angehängten ZIP-Archiv (Datei mit „.zip“-Endung) verteilt, das eine JavaScript-Datei (Datei mit „.js“-Endung) enthält. Sobald die Datei installiert wurde, folgt sie dem oben beschriebenen Muster. Einige Antiviren-Produkte können die Malware bereits erkennen und entsprechend löschen.

Massnahmenempfehlung

Da sich immer wieder neue und weiterentwickelte Versionen von Ransomware im Umlauf befinden wird die effektive Erkennung mittels Antiviren-Software stark erschwert. Dennoch sollten folgende Massnahmen getroffen werden um eine Infektion zu vermeiden beziehungsweise den allfälligen Schaden auf ein Minimum zu reduzieren:

  • Wichtige Dateien sollten regelmässig an einer externen Stelle gesichert werden (Backup). Als Backup-Medien eignen sich je nach zu speichernder Datenmenge Memory Sticks, externe Festplatten oder professionelle Backup-Systeme.
  • E-Mail-Nachrichten mit angehängten Dateien sollten nur geöffnet werden, wenn auch ein solcher Anhang von diesem Absender erwartet wird. Im Zweifelsfalle kann auch beim Absender nachgefragt werden, da Absenderadressen auch gefälscht werden können.
  • Um sich generell vor Infektionen mit Schadsoftware zu schützen, sollte das Betriebssystem und alle installierte Software auf dem neusten Stand gehalten werden. Zumindest alle sicherheitsrelevanten Updates und Security Patches sollten zeitnah eingespielt werden.
  • Eine Antiviren-Software sollte immer installiert und die zugehörige Malware-Erkennungsdatenbank täglich aktualisiert werden. Im privaten Umfeld reichen die Gratisversionen der bekannten Hersteller aus.
  • Eine Firewall sollte installiert und entsprechend konfiguriert werden. Im privaten Umfeld reicht es die im Betriebssystem integrierte Firewall zu aktivieren.

Werden diese Hinweise beachtet, sinkt das Risiko einer Infektion erheblich.

Vorgehen

Sollte es dennoch zur Infektion kommen, dann muss der betroffene Computer so schnell wie möglich vom Netzwerk getrennt werden. Eine anschliessende Desinfektion sollte von entsprechend geschultem Personal durchgeführt werden. Im Business-Bereich sollte darüber nachgedacht werden, zuerst eine Kopie der Festplatte zur IT-forensischen Untersuchung der Malware zu erstellen, so dass mögliche Muster und Infektionsvektoren erkannt und für die Zukunft geschlossen werden können.

Dieser Artikel wurde von unserem Research Team produziert, welches neue Exploits and Angriffsszenarien analysiert und entwickelt. Die Oneconsult AG hat ein grosses Team von festangestellten, zertifizierten Penetration Testern. Auf Basis von bisher mehr als 850 anspruchsvollen Penetration Test Projekten entdecken wir jedes Jahr Dutzende von Zero-Day Vulnerabilities.
www.oneconsult.com

Published on: 04.12.2015

Share

Never miss the latest news on cyber security topics again? Sign up for our newsletter

Autor

Keine Beschreibung verfügbar.

Don’t miss anything! Subscribe to our free newsletter.

Your security is our top priority – our specialists provide you with professional support.

Availability Monday to Friday 8:00 a.m. – 6:00 p.m (exception: customers with SLA – please call the 24/7 IRR emergency number).

Private individuals please contact your trusted IT service provider or the local police station.

For more information about our DFIR services here:

QR_CSIRT_2022_EN@2x
Add CSIRT to contacts